Privacy. GDPR, Soro: sanzioni pecuniarie gradualistiche, laddove misure inibitorie e prescrittive non sufficienti

Antonello Soro, Garante Privacy, GDPR

Soro: sanzioni graduali, DPO figura centrale. Monito Calamandrei deve guidare tutti: “Gli articoli di legge sono come figli mandati per il mondo in cerca di fortuna”.
Come abbiamo più volte scritto su queste pagine, la prima applicazione del GDPR non esaurisce la necessità delle aziende e comunque dei soggetti a vario titolo coinvolti dalle nuove modalità di trattamento dei dati personale e sensibili e della privacy in generale:  si tratta di “un mutamento che, proprio perché importante, non sarà istantaneo“. Parole di Antonello Soro, Presidente dell’Autorità Garante per la protezione dei dati personali, in occasione della piena applicazione del Regolamento UE 2016/679, meglio noto come GDPR.

“Esso si snoderà lungo un percorso che il Garante cercherà di guidare, nella consapevolezza delle difficoltà, ma anche delle irrinunciabili opportunità che esso comporta, per consentire ad aziende e amministrazioni di stare al passo con l’innovazione e con le nuove sfide di un’economia fondata sui dati – spiega il Garante – Il pacchetto di riforme (regolamento generale di protezione dati assieme alla direttiva 680 sui trattamenti per fini di polizia e giustizia penale) rappresenta, infatti, la cornice normativa in cui si giocherà una delle sfide più importanti per i prossimi decenni: quella dell’effettività del diritto fondamentale alla protezione dei dati personali. Diritto che rappresenta sempre di più una garanzia ineludibile di libertà nella società digitale e che vive in costante dialettica con una realtà in continua evoluzione, perché esposta agli incessanti mutamenti delle nuove tecnologie”, annota Soro.
Cd. “diritto vivente”, che, essendo in costante mutamento, impone una attenzione stabile.

“Alla base della scelta di rivedere il quadro giuridico in questa materia vi è, del resto, proprio l’esigenza di adeguare il diritto a una realtà profondamente mutata dalla sostanziale trasposizione – inimmaginabile fino a pochi anni fa – dell’off line sull’on-line: che ha finito per costituire una nostra nuova dimensione della vita, quella in cui si dispiega sempre più la nostra esistenza privata e pubblica – continua Soro -. Il nuovo quadro giuridico europeo segna, in questo percorso, un momento essenziale, fornendo agli Stati membri, proprio con la scelta della forma regolamentare, una disciplina unitaria che supera le asimmetrie riscontrate nel recepimento della direttiva madre. Il Regolamento potrà applicarsi anche a trattamenti svolti da aziende situate all’estero, che offrano servizi o profilino cittadini europei, includendo così nel suo raggio di azione anche i grandi attori dell’economia digitale che hanno sinora operato in un regime assai prossimo all’autodichia, in virtù della loro attrazione in ordinamenti più inclini a far prevalere le ragioni del mercato e della libera iniziativa economica sui diritti individuali”, chiosa il Garante.

“Tale aspetto evidenzia già, per sé solo, il processo di progressiva “universalizzazione” che sta caratterizzando l’evoluzione del diritto alla protezione dei dati personali, con il Regolamento concepito – sulla scorta della Carta di Nizza – quale presupposto per ogni altro diritto e libertà – insiste Soro -. Ne deriva, anzitutto, la scelta di un modello giuridico di tutela fondato sul ruolo di garanzia di Autorità indipendenti che, in quanto snodi di una rete dell’Unione, sono parti di un comune progetto costituzionale europeo. Esse assumono anche un ruolo “regolatorio” di questo interesse generale e del suo bilanciamento con altri beni giuridici primari: la sicurezza pubblica, nazionale e cibernetica, un’iniziativa economica libera tanto quanto rispettosa della dignità, un mercato concorrenziale, l’equilibrio tra autodeterminazione del lavoratore ed esigenze datoriali, l’efficacia di scienza e medicina, la qualità dell’informazione, una trasparenza non così eccessiva da risultare paradossalmente opaca”, ribadisce il presidente dell’Autorità.

“Paradigmatici, in tal senso, i primi considerando, ove si auspica che il trattamento dei dati sia posto “al servizio dell’uomo” e che il relativo diritto, nella sua funzione sociale, sia contemperato con altri diritti fondamentali – continua Soro – Questa esigenza di bilanciamento emerge anche nelle riserve al legislatore nazionale per la specificazione delle norme in settori di particolare complessità, quali informazione, ricerca scientifica, storica, statistica, libertà religiosa, diritto del lavoro, accesso agli atti amministrativi (anche con riguardo al riutilizzo dei dati acquisiti). Limitazioni agli obblighi del titolare sono poi ammesse, mediante norme legislative, proprio per la tutela di interessi pubblici primari al fine di valorizzare la funzione sociale della protezione dati. Questo si evince anche dalla previsione dell’esercizio di pubblici poteri o di compiti di pubblico interesse, normativamente previsti, quale presupposti generali di liceità del trattamento, purché proporzionato alle esigenze perseguite ed assistito da garanzie adeguate, tali da consentire (in particolare nel caso di dati sensibili) il rispetto della “essenza del diritto alla protezione dei dati”, sottolinea Soro.

“Dall’approccio orientato ai diritti, che anima l’intero Regolamento- assieme alla normativa nazionale di adeguamento, che consente un migliore raccordo dell’ordinamento nel suo complesso con la disciplina europea- deriva poi il passaggio da una tutela in chiave prevalentemente remediale, dunque successiva, a una di tipo essenzialmente preventivo – rimarca il Garante della privacy -. Fondata, come tale, sulla minimizzazione del rischio attraverso tecniche di protezione fin dalla progettazione e per impostazione predefinita, ma anche sul ricorso alla limitazione del trattamento e alla pseudonimizzazione, particolarmente utile ad esempio nel campo della ricerca scientifica. Il ricorso a strumenti di tutela preventiva è, poi, particolarmente rilevante in ragione del rischio che le garanzie tradizionali di consenso e informativa si relativizzino nel contesto dell’IoT e delle raccolte massive di dati, spesso sfuggenti al controllo individuale, per via della frammentazione del processo di gestione del dato, lungo una catena dai molteplici anelli.

Un impegno essenziale sarà quello di bilanciare le esigenze di tutela con le istanze di semplificazione, che il legislatore nazionale valorizza, negli spazi concessigli, in particolare per le micro, piccole e medie imprese di cui è prevalentemente composto il nostro tessuto imprenditoriale, ammettendo in questo campo interventi semplificatorii del Garante. A fronte di illiceità nel trattamento, il ventaglio delle misure suscettibili di adozione da parte del Garante si articola notevolmente: la sanzione amministrativa pecuniaria sarà applicata secondo l’approccio gradualistico previsto dalle nuove norme, laddove cioè le misure inibitorie e prescrittive non si ritengano sufficienti, soprattutto in termini preventivi.

La scelta del legislatore nazionale di continuare a sottoporre a sanzione anche gli enti pubblici contribuirà peraltro, se definitivamente confermata, a elevare gli standard di garanzia del diritto alla protezione dati rispetto a trattamenti, quali quelli svolti da tali organi, spesso caratterizzati da particolare invasività o ampiezza, in quanto inerenti quantità di dati elevatissime e potenzialmente l’intera cittadinanza.
Condivisibile, poi, la scelta del legislatore di assicurare il presidio penale a condotte caratterizzate da un disvalore maggiore, lesive della privacy individuale o del corretto esercizio delle funzioni del Garante (quale bene giuridico alla prima strumentale) e pertanto meritevoli della particolare efficacia preventiva assicurata da tale sanzione.
Il modello risarcitorio segue il criterio (già noto al Codice) della responsabilità oggettiva – particolarmente garantista per il danneggiato – e comprende il danno patrimoniale e non.

Adeguando le norme alla realtà tecnologica, il diritto alla protezione dati risulta straordinariamente arricchito, anche di implicazioni nuove quali il diritto alla portabilità -che consente di ricomporre le tessere del mosaico del nostro io digitale, proteggendo anche la concorrenza da fenomeni di “lock-in” – e l’oblio: equilibrio tra storia individuale e memoria collettiva.
Ma il dato più importante da rilevare concerne la complessiva responsabilizzazione dei titolari del trattamento, delineata dal Regolamento quale particolare espressione dell’impostazione preventiva sottesavi.
Unitamente alla sostituzione delle misure minime di sicurezza con misure adeguate, il principio di responsabilizzazione riflette un approccio più sostanzialistico di quello sotteso alla direttiva madre, che valorizza non tanto la formale osservanza di regole puntuali, quanto l’adozione di una complessiva strategia aziendale fondata sulla protezione dei dati e che dota gli adempimenti cui è tenuto il titolare della flessibilità necessaria ad adeguarsi a possibili cambiamenti nel grado di rischiosità del trattamento, nelle sue implicazioni o caratteristiche essenziali.

La stessa violazione del principio di responsabilizzazione (anche nella forma dell’impossibilità di dimostrazione delle misure adottate per garantire un livello elevato di protezione) integra, al pari dell’inottemperanza agli altri principi, gli estremi di un autonomo illecito amministrativo, per il quale è prevista la sanzione più grave, sino a 20.000 euro o al 4% del fatturato annuo globale.
L’accountability rappresenta dunque, anche (ma ovviamente non solo) per questo, l’architrave della nuova disciplina, nella misura in cui ascrive al titolare del trattamento una funzione delicatissima di individuazione, attraverso la strategia aziendale prescelta, delle misure idonee a far sì che la propria attività rispetti la privacy dei cittadini, tracciando di volta in volta il limite oltre il quale l’iniziativa economica debba arrestarsi per esigenze di tutela della persona.

Si tratta di una piccola rivoluzione (soprattutto per l’impostazione continentale), dal momento che presuppone un ampio margine di discrezionalità, in capo al titolare, in ordine alle scelte da compiere di volta in volta pur nella rigorosa predeterminazione del fine (la tutela dei dati trattati), secondo un paradigma che ricorda quello civilistico dell’obbligazione di risultato, anziché di mezzi.
Protagonista di questa “rivoluzione”è però, accanto al titolare, proprio il dpo: figura da cui dipende la “scommessa” dell’accountability, la capacità cioè di fare della protezione dati non tanto un onere legale da assolvere quanto un elemento di vantaggio competitivo su cui puntare per reggere alle sfide di un mercato sempre più fondato sui dati, dei quali è quindi indispensabile assicurare protezione, qualità, esattezza, sicurezza.
Il dpo assume pertanto una funzione centrale, anzitutto sotto il profilo dell’organizzazione aziendale, dovendo incidere su scelte aziendali strategiche e potersi relazionare direttamente con il titolare e gli organi apicali.

Anche per tale ragione è essenziale che egli non versi in condizioni di conflitto di interesse, concorrendo ad esempio (in ragione di funzioni ulteriori che ricopra), alla determinazione dei fini o delle modalità del trattamento.
Questo dimostra come al dpo sia ascritta una vera e propria funzione di garanzia rilevante anche, per certi versi, sotto il profilo pubblicistico, nella misura in cui deve assicurare – se necessario anche contestando difformi scelte del titolare – la tutela dei dati dei cittadini, fungendo da referente tanto per gli interessati quanto per il Garante.
Risiede in tale ragione, tra l’altro, la scelta davvero specifica del Legislatore europeo di prevedere (come obbligatoria in alcuni casi) una specifica figura professionale, cui va garantita oltre a risorse adeguate, soprattutto indipendenza nell’esecuzione dei propri compiti: requisito singolare per un soggetto privato e che dimostra la caratura anche pubblicistica della funzione.

“L’ingerenza nelle scelte aziendali si giustifica, infatti, proprio per l’esigenza di assicurare ai cittadini una tutela adeguata dei loro diritti rispetto a trattamenti connotati da particolare rischiosità o comunque dall’incidenza su un ampio ambito soggettivo, precostituendo un punto di contatto e di riferimento tanto per il Garante quanto per chi si ritenga leso dal trattamento”, ribadisce Soro, che continua: “Benché, naturalmente, di eventuali illeciti risponda sempre e comunque il titolare (e/o il responsabile del trattamento, ove ne ricorrano i presupposti) e non anche il dpo, cui il trattamento e i relativi effetti non sono imputabili, certamente l’inclusione di tale figura nella compagine aziendale, anche al di fuori dei casi di obbligatorietà, contribuirà a garantire al titolare una migliore compliance rispetto alla disciplina privacy, fornendogli un ausilio importante”.

Secondo Soro, “E’ significativo, in tal senso, che in Francia, nel 2015, fossero stati designati già oltre sedicimila dpo su base esclusivamente volontaria.
Come pure è significativo che il legislatore nazionale abbia scelto di prevedere tale figura come necessaria anche nei settori (giurisdizione penale) in cui non era obbligatoria, proprio in ragione delle garanzie che essa può fornire per l’effettività del diritto alla protezione dei dati dei cittadini.
Naturalmente, proprio per la sua importanza per la tutela di un diritto fondamentale, quale appunto quello alla protezione dati, questa funzione deve essere esercitata con massima professionalità e senso di responsabilità”.

“L’auspicio che rivolgo a chi svolgerà questa funzione, delicatissima e cruciale- perché su essa si gioca essenzialmente la ‘scommessa’ dell’accountability-, è di farlo nella consapevolezza di come, da sue singole scelte, dipenda la garanzia della libertà, dignità, identità stessa degli interessati”, invita Soro, secondo il quale “Il successo del nuovo quadro giuridico europeo dipenderà dalla sua tenuta sociale, dalla sua capacità di divenire cioè forma e regola dell’agire di cittadini, amministrazioni, imprese. “Gli articoli di legge sono come figli mandati per il mondo in cerca di fortuna”, scriveva Piero Calamandrei. Affidiamo dunque soprattutto a chi, come voi, applicherà ogni giorno queste norme la loro fortuna, la loro possibilità di coniugare libertà e innovazione“, conclude Antonello Soro. (M.L. per NL)

Questo sito utilizza cookie per gestire la navigazione, la personalizzazione di contenuti, per analizzare il traffico. Per ottenere maggiori informazioni sulle categorie di cookie, sulle finalità e sulle modalità di disattivazione degli stessi clicca qui. Con la chiusura del banner acconsenti all’utilizzo dei soli cookie tecnici. La scelta può essere modificata in qualsiasi momento.

Privacy Settings saved!
Impostazioni

Quando visiti un sito Web, esso può archiviare o recuperare informazioni sul tuo browser, principalmente sotto forma di cookies. Controlla qui i tuoi servizi di cookie personali.

Questi strumenti di tracciamento sono strettamente necessari per garantire il funzionamento e la fornitura del servizio che ci hai richiesto e, pertanto, non richiedono il tuo consenso.

Questi cookie sono impostati dal servizio recaptcha di Google per identificare i bot per proteggere il sito Web da attacchi di spam dannosi e per testare se il browser è in grado di ricevere cookies.
  • wordpress_test_cookie
  • wp_lang
  • PHPSESSID

Questi cookie memorizzano le scelte e le impostazioni decise dal visitatore in conformità al GDPR.
  • wordpress_gdpr_cookies_declined
  • wordpress_gdpr_cookies_allowed
  • wordpress_gdpr_allowed_services

Rifiuta tutti i Servizi
Accetta tutti i Servizi

Ricevi gratis la newsletter di NL!

ATTENZIONE! Il 14/12/2024 scade termine per iscrizione in lista SIG (Servizi di Interesse Generale) istituita da Agcom per rilevanza in elenchi dei device smart: [email protected]

ISCRIVITI ALLA NEWSLETTER